El equipo de seguridad de Microsoft ha detallado una pieza relativamente nueva de malware para Mac que ha evolucionado significativamente para ofrecer a los atacantes una «progresión cada vez mayor de capacidades sofisticadas«.
Nuestro descubrimiento y análisis de un sofisticado troyano de Mac en octubre expuso una evolución de un año de una familia de malware, y describe la creciente complejidad de las amenazas en todas las plataformas. El troyano, rastreado como UpdateAgent, comenzó como un ladrón de información relativamente básico, pero se observó distribuyendo cargas útiles secundarias en la última campaña, una capacidad que agregó en una de sus múltiples iteraciones. Con reminiscencias de la progresión de los troyanos que roban información en otras plataformas, UpdateAgent también puede convertirse en un vector de otras amenazas para infiltrarse en los sistemas objetivo.
Un seguimiento en silencio desde 2020
La familia de malware, apodada UpdateAgent por el Equipo de Inteligencia de Amenazas de Microsoft 365 Defender, apareció por primera vez en septiembre de 2020. Desde entonces, ha progresado gradualmente de un simple extractor de información a una pieza de malware más peligrosa que puede entregar otras cargas útiles.
UpdateAgent, que está en desarrollo activo por autores de malware, puede infectar a los Mac de los usuarios a través de vectores como descargas drive-by o anuncios emergentes. A menudo se presenta como una pieza legítima de software, como una aplicación de vídeo o un agente de soporte.
Desde su primera aparición en septiembre de 2020, el malware mostró una progresión creciente de capacidades sofisticadas, y aunque las dos últimas variantes tenían un comportamiento mucho más refinado en comparación con versiones anteriores, muestran signos de que el malware todavía está en la etapa de desarrollo y es probable que lleguen más actualizaciones. La última campaña vio al malware instalar el adware Adload evasivo y persistente, pero la capacidad de UpdateAgent para obtener acceso a un dispositivo teóricamente se puede aprovechar aún más para buscar otras cargas útiles potencialmente más peligrosas.
Esto es lo que ha comentado el equipo de Microsoft:
UpdateAgent atrae a sus víctimas haciéndose pasar por software legítimo y puede aprovechar las funcionalidades de los dispositivos Mac en su beneficio. Una de las técnicas más avanzadas que se encuentran en la última caja de herramientas de UpdateAgent es omitir los controles Gatekeeper, que están diseñados para garantizar que solo las aplicaciones de confianza se ejecuten en dispositivos Mac.
El troyano puede aprovechar los permisos de usuario existentes para realizar silenciosamente actividades maliciosas antes de eliminar la evidencia para cubrir sus pistas. UpdateAgent también hace un mal uso de la infraestructura de nube pública, a saber, los servicios Amazon S3 y CloudFront, para alojar sus cargas útiles adicionales.
Compartimos nuestros hallazgos con el equipo de Amazon Web Services, y han eliminado las URL maliciosas, otro ejemplo de cómo el intercambio de inteligencia y la colaboración resultan en una mejor seguridad para la comunidad en general.
Recomendaciones para frenar el malware UpdateAgent
Estas son las medidas de mitigación que recomiendan el Equipo de Inteligencia de Amenazas de Microsoft 365 para defenderse contra esta amenaza:
- Fomente el uso de Microsoft Edge, disponible en macOS y varias plataformas, u otros navegadores web que admitan Microsoft Defender SmartScreen, que identifica y bloquea sitios web maliciosos, incluidos sitios de phishing, sitios de estafa y sitios que contienen exploits y alojan malware.
- Restringir el acceso a recursos privilegiados, como carpetas y archivos de sudoers LaunchDaemons o LaunchAgents, a través de soluciones de gestión empresarial OSX. Esto ayuda a mitigar la persistencia común y las técnicas de escalada de privilegios.
- Instale aplicaciones solo de fuentes confiables, como la tienda oficial de aplicaciones de una plataforma de software. Las fuentes de terceros pueden tener estándares laxos para las aplicaciones que alojan, lo que permite a los actores maliciosos cargar y distribuir malware.
- Ejecute la última versión de sus sistemas operativos y aplicaciones. Implemente las últimas actualizaciones de seguridad tan pronto como estén disponibles.